StechusKaktus
Wie entstehen Passwortstatistiken?
Vorhin im Radio wurde einmal mehr über die beliebtesten Passwörter hergezogen: Hallo, Passwort und Schalke04 sind einige davon.
Woher kann die Statistik kommen? Die werden doch nirgends hinterlegt (so hoffe ich)
Woher kann die Statistik kommen? Die werden doch nirgends hinterlegt (so hoffe ich)
Antworten (2)
Das eingegebene Passwort muss ja beim Einloggen auf Richtigkeit geprüft werden. Dazu muss nicht das Passwort selbst hinterlegt sein, aber ein aus dem Passwort gebildeter Schlüssel.
Das kann entweder das verschlüsselte Passwort sein, dann könnte man es auch wieder entschlüsseln, oder es ist ein Hashwert, der aus dem Passwort gebildet wird.
Einen Hashwert kann man zwar nicht entschlüsseln, was aber geht ist, Passwörter, von denen man glaubt, dass sie häufig verwendet werden, dem Verschlüsselungs- oder Hash-Algorithmus zu unterziehen und diese dann mit den gespeichrten Schlüsseln vergleichen.
Man wird vermutlich folgendermaßen vorgehen:
Und sich dann wundern, bei wie vielen davon man fündig wird.
Ist allerdings ne Vermutung.
Das kann entweder das verschlüsselte Passwort sein, dann könnte man es auch wieder entschlüsseln, oder es ist ein Hashwert, der aus dem Passwort gebildet wird.
Einen Hashwert kann man zwar nicht entschlüsseln, was aber geht ist, Passwörter, von denen man glaubt, dass sie häufig verwendet werden, dem Verschlüsselungs- oder Hash-Algorithmus zu unterziehen und diese dann mit den gespeichrten Schlüsseln vergleichen.
Man wird vermutlich folgendermaßen vorgehen:
- sich vergewissern, dass jemand der eine solche Studie durchführen will, seriös ist.
- Nur die Hashwerte oder verschlüsselten Passwörter heraus rücken, so dass sie nicht mehr einem bestimmten Account zugeordnet werden können.
- Und dann unsichere Passwörter durchprobieren
Und sich dann wundern, bei wie vielen davon man fündig wird.
Ist allerdings ne Vermutung.
Nach einer Woche Rechenzeit kann man ungefähr die Hälfte der Passwörter hacken, weil sie entweder zu kurz sind oder sich auf im Internet kursierenden Passwortlisten befinden. Zu kurz wäre z.B. kürzer als 9 Zeichen.